据US-CERT(美国计算机应急响应小组)SB11-360和SB12-037公告称施耐德Modicon Quantum系列PLC存在多项安全漏洞,Tofino全球首席技术总监Eric在2011年12月16日的博客中就提前发布过相关资讯,这为使用Modicon Quantum系列PLC及所有使用Modbus工业协议的用户敲响了安全防护的警钟,从伊朗Stuxnet到Duqu,越来越多的攻击破坏行为正越来越多的指向工业设备,Tofino以其独创的Modbus工业安全插件模式,为支持Modbus/TCP工业设备提供安全保障。
1 安全漏洞分析
针对目前施耐德Modicon Quantum系列PLC的漏洞,大致可将分为以下两方面。
1.1 Modbus协议功能码90(0x5A)的漏洞
根据Modbus功能码定义(详见附录一),功能码90为用户保留的功能扩展编码段,而非Modbus协议常规的功能码,因此,这一漏洞是施耐德公司Modicon Quantum系列PLC所特有的,此功能码具有启停PLC设备、获取密码信息、图形逻辑代码上传下载等可能直接影响PLC正常运转的高权限行为能力,而实际应用中此功能码可能并非用户所必要。
1.2 网络端口开放漏洞
Modicon Quantum系列PLC存在多项网络端口和服务漏洞,其中包括许多黑客与病毒常用的通讯端口,通过Telnet、FTP、Web、远程登录等手段可以导致PLC瘫痪,PLC在实际使用中可能并不需要为用户开放这些网络端口,默认开放的端口为非法攻击行为创造了环境。
2 安全漏洞防御解决方案:
通过对Modicon Quantum系列PLC存在的漏洞进行分析,我们认为可以通过如下方式彻底防御现有的安全漏洞。
2.1 PLC Modbus协议的深度防护
Tofino工业防火墙具有深度检查和防御Modbus协议通讯的功能,它可以从Modbus的设备地址、功能码、寄存器地址等方面提供Modbus协议通讯的全面防护,通过白名单方式最小化开放允许的通讯行为,在保证PLC正常通讯的同时屏蔽一切不必要的和非法的Modbus通讯请求,真正的从应用协议层面保护PLC的安全,彻底防御Modbus协议功能码漏洞,此功能不仅可以用于Modicon Quantum系列PLC,也可以用于所有通过Modbus协议通讯的工业设备。
2.2 PLC的网络端口与服务的安全防护
Tofino防火墙在实现Modbus协议深度检查和防御的同时,还可以对PLC控制器默认开放的网络端口与服务提供安全防护,防火墙的白名单方式最小化开放必要的通讯端口,屏蔽了Telnet、FTP、Web、远程登录等所有不必要的和非法的通讯端口,Tofino防火墙特有的屏蔽IP功能,使非法攻击者根本无法扫描并攻击网络中的PLC设备,为其保护的工业设备提供了一个安全的运转环境。
2.3 隔离企业内网与控制网络
通过在企业内网(数采网)与PLC所在的控制网络之间加入Tofino工业防火墙,安全隔离控制网络的PLC设备不与外界网络通讯,防御来自外网的非法侵入。数采网络与控制网络之间往往需要进行数据通讯,一般采用的工业协议为OPC协议,OPC协基于DCOM技术,使用动态端口进行通讯,传统防火墙无法有效的从应用协议层面对OPC协议进行防护,Tofino工业防火墙恰恰具有深度检查与防护OPC通讯协议的能力,这样通过充分发挥Tofino防火墙作为边界设备的优势,能够将数采网络与控制网络安全隔离,防御外界网络对控制网络PLC设备的非法攻击。
图1 多芬诺安全防护示意图
3 应用案例展示:
目前Tofino防火墙已经被广泛的应用于工业信息网络,为用户提供了工业协议与工业网络通讯的安全防护。
案例一:Modbus协议的防护:
用户信息:中国石化青岛炼化分公司
应用环境:SIS仪表安全控制系统工程师站防护
防护描述:SIS系统的工程师站使用IFIX软件作为HMI平台,通过Modbus协议与SIS系统控制器进行数据通讯,通过流程图显示现场数据,为用户提供现场数据的实时信息,同时HMI软件也具备数据写入能力,通过Modbus协议可以将数据写入到控制器中。
防护架构图:
图2 工程师站防护示意图
防护策略:根据实际应用的了解发现工程师站只使用功能码01和03读取现场数据,而正常操作情况不需要通过写入功能码修改现场数据,在防火墙安全策略设置中我们最小化开放Modbus协议的01和03功能码及必要的地址偏移量和连续地址范围,这样在保证HMI平台正常通讯的同时也将其它所有非必要的功能码和地址段安全保护起来,如果有Modbus协议的非法操作都将被防火墙拦截。
图3 Modbus Enforcer 配置示意图
案例二:齐鲁石化施耐德Modicon Quantum PLC与MES网络隔离防护:
用户信息:中国石化齐鲁石化分公司
应用环境:齐鲁石化*****装置
防护描述:企业MES数采网络与控制网络之间需要进行数据通讯,一般采用的工业协议为OPC协议,OPC协基于DCOM技术,使用动态端口进行通讯,传统防火墙无法有效的从应用协议层面对OPC协议进行防护,Tofino独有的OPC安全插件恰恰具有深度检查与防护OPC通讯协议的能力,这样通过充分发挥Tofino防火墙作为边界设备的优势,能够将数采网络与控制网络安全隔离,防御外界网络对控制网络PLC设备的非法攻击。
防护架构图:
图4 PLC与MES网络隔离防护示意图
防护策略:在Modicon PLC控制网络的OPC Server和上层MES数采机之间增加Tofino防火墙,并采用用OPC Enforcer安全插件进行防护。
图5 OPC Enforcer配置示意图
附录一:Modbus协议功能码
| 功能码 |
名称 |
作用 |
| 01 |
读取线圈状态 |
取得一组逻辑线圈的当前状态(ON/OFF) |
| 02 |
读取输入状态 |
取得一组开关输入的当前状态(ON/OFF) |
| 03 |
读取保持寄存器 |
在一个或多个保持寄存器中取得当前的二进制值 |
| 04 |
读取输入寄存器 |
在一个或多个输入寄存器中取得当前的二进制值 |
| 05 |
强置单线圈 |
强置一个逻辑线圈的通断状态 |
| 06 |
预置单寄存器 |
把具体二进值装入一个保持寄存器 |
| 07 |
读取异常状态 |
取得8个内部线圈的通断状态,这8个线圈的地址由控制器决定,用户逻辑可以将这些线圈定义,以说明从机状态,短 报文适宜于迅速读取状态 |
| 08 |
回送诊断校验 |
把诊断校验报文送从机,以对通信处理进行评鉴 |
| 09 |
编程(只用于484) |
使主机模拟编程器作用,修改PC从机逻辑 |
| 10 |
控询(只用于484) |
可使主机与一台正在执行长程序任务从机通信,探询该从机是否已完成其操作任务,仅在含有功能码9的报文发送后,本功能码才发送 |
| 11 |
读取事件计数 |
可使主机发出单询问,并随即判定操作是否成功,尤其是该命令或其他应答产生通信错误时 |
| 12 |
读取通信事件记录 |
可是主机检索每台从机的ModBus事务处理通信事件记录。如果某项事务处理完成,记录会给出有关错误 |
| 13 |
编程(184/384 484 584) |
可使主机模拟编程器功能修改PC从机逻辑 |
| 14 |
探询(184/384 484 584) |
可使主机与正在执行任务的从机通信,定期控询该从机是否已完成其程序操作,仅在含有功能13的报文发送后,本功能码才得发送 |
| 15 |
强置多线圈 |
强置一串连续逻辑线圈的通断 |
| 16 |
预置多寄存器 |
把具体的二进制值装入一串连续的保持寄存器 |
| 17 |
报告从机标识 |
可使主机判断编址从机的类型及该从机运行指示灯的状态 |
| 18 |
(884和MICRO 84) |
可使主机模拟编程功能,修改PC状态逻辑 |
| 19 |
重置通信链路 |
发生非可修改错误后,是从机复位于已知状态,可重置顺序字节 |
| 20 |
读取通用参数(584L) |
显示扩展存储器文件中的数据信息 |
| 21 |
写入通用参数(584L) |
把通用参数写入扩展存储文件,或修改之 |
| 22~64 |
保留作扩展功能备用 |
|
| 65~72 |
保留以备用户功能所用 |
留作用户功能的扩展编码 |
| 73~119 |
非法功能 |
|
| 120~127 |
保留 |
留作内部作用 |
| 128~255 |
保留 |
用于异常应答 |
